测试用户注册流程
ID |
---|
WSTG-IDNT-02 |
总结
某些网站提供用户注册过程,该过程可自动(或半自动)为用户提供系统访问权限。访问的标识要求从肯定标识到完全没有标识不等,具体取决于系统的安全要求。许多公共应用程序完全自动化注册和配置过程,因为用户群的规模使得无法手动管理。但是,许多企业应用程序将手动预配用户,因此此测试用例可能不适用。
测试目标
- 验证用户注册的标识要求是否与业务和安全要求一致。
- 验证注册过程。
如何测试
验证用户注册的标识要求是否与业务和安全要求一致:
- 任何人都可以注册访问吗?
- 注册是在预配之前由人工审查的,还是在满足条件时自动授予的?
- 同一个人或身份可以多次注册吗?
- 用户可以注册不同的角色或权限吗?
- 注册成功需要什么身份证明?
- 注册的身份是否经过验证?
验证注册过程:
- 身份信息是否容易被伪造或伪造?
- 在注册过程中,身份信息的交换可以纵吗
例
在下面的 WordPress 示例中,唯一的身份证明要求是注册人可以访问的电子邮件地址。
Figure 4.3.2-1: WordPress 注册页面
相比之下,在下面的 Google 示例中,身份识别要求包括姓名、出生日期、国家/地区、手机号码、电子邮件地址和 CAPTCHA 响应。虽然其中只有两个可以验证(电子邮件地址和手机号码),但身份要求比 WordPress 更严格。
Figure 4.3.2-2: Google 注册页面
修复
实施与凭据保护的信息的安全要求相对应的标识和验证要求。
工具
HTTP 代理是测试此控件的有用工具。